Sécurité IT : les menaces s’implantent sur les routeurs

CyberDéfenseGestion réseauxRéseauxRisquesSécurité
synful-knock

Intercepter le trafic Internet à la racine : c’est l’objectif des cyber-criminels qui exploitent le malware SYNful Knock, découvert sur des routeurs Cisco.

Nom : SYNful Knock. Nature : malware. Particularité : s’implante sur des routeurs Cisco.

Les équipes de FireEye attirent l’attention sur cette menace que l’on croyait encore très largement « théorique »… mais qui sévirait au bas mot depuis un an, avec des dégâts quant à eux bien concrets.

Une quinzaine de variantes de SYNful Knock ont été identifiées, dans quatre pays : l’Inde, le Mexique, l’Ukraine et les Philippines. Elles consistent systématiquement en une modification du firmware des routeurs affectés (modèles Cisco 1841, 2811, 3825 et probablement d’autres au vu de la similitude de leur code).

S’ils ne bénéficient pas d’un accès physique aux équipements visés, les cybercriminels qui souhaitent déployer cet implant doivent trouver un moyen de s’authentifier à distance. Dans de nombreux cas, il suffit de saisir le mot de passe par défaut…

Résistant aux redémarrages, SYNful Knock s’initialise vraisemblablement à travers une fonction associée à la planification de tâches. Pourquoi celle-ci plutôt qu’une autre ? Parce qu’elle est chargée très tôt dans la séquence d’amorçage. Les pirates n’ont qu’à modifier l’adresse cible d’un appel de fonction pour lancer le malware.

Une fois installé, SYNful Knock peut être mis à jour. Et il utilise un format non standard de paquets TCP pour compliquer sa détection. Mais sa véritable puissance réside dans la possibilité d’exploiter une centaine de modules complémentaires.

Pour faciliter leur mise en service, le malware passe tous les échanges de données en lecture-écriture. Une force, mais aussi une faiblesse : les deux octets modifiés à cette occasion font disparaître la valeur RO, pour « Read-Only » ; bilan, si sur un routeur Cisco, la commande show platform | include RO, Valid ne retourne aucun résultat, il faut redoute une infection.

Pas indétectable

Un autre indice peut se trouver dans les logs, bien que SYNful Knock ne les modifie pas en priorité.

Petite explication : pour ne pas éveiller les soupçons, le malware s’assure que la taille du firmware IOS soit toujours la même. Dans cette optique, il réécrit d’abord plusieurs fonctions avec son propre code exécutable. Mais dans certains cas, pour des déploiements complexes, il faut modifier autre chose pour ne pas en arriver à perturber le fonctionnement des routeurs.

Ce qui peut laisser apparaître des éléments comme l’adresse du serveur de commande (C&C) associé au malware. Sur ce dernier point, la connexion ne s’effectue que si des conditions spécifiques sont remplies dans les en-têtes et le contenu des paquets IP. Les vérifications sont effectuées indépendamment des filtres éventuellement mis en place sur le routeur.

Il existe une troisième solution pour détecter SYNful Knock : réaliser un « instantané » du firmware IOS. Les modules complémentaires s’exécutant en mémoire volatile, ils seront repérables – on précisera que chacun d’entre eux est activé et désactivé par l’envoi de paquets spécifiques.

Ce type de malware, qui permet par ailleurs d’ouvrir une backdoor d’administration accessible via Telnet ou bien via la console du routeur, devrait gagner en popularité, selon les experts de FireEye. Lesquels considèrent toutefois que dans l’état actuel, peu de pays disposent de telles capacités d’attaque sur des équipements réseau : les États-Unis, la Chine, la Russie, Israël et le Royaume-Uni.

Crédit photo : asharkyu – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur